Πόσο ασφαλή είναι τα sites των ελληνικών τραπεζών;

Posted
Comments 0

Αφορμή για το παρόν άρθρο στάθηκε η προσπάθεια μου να δημιουργήσω την eftopia.org ως ένα ασφαλή ιστότοπο. Δηλώνοντας απερίφραστα μη ειδικός σε θέματα online ασφάλειας αλλά μάλλον σαν ένας “προχωρημένος” και ανήσυχος χρήστης του διαδικτύου, πέρασα αρκετές ώρες στο internet ψάχνοντας τρόπους θωράκισης του site μου. Για καλή μου τύχη έπεσα πάνω στο μη κερδοσκοπικό ανεξάρτητο οργανισμό Observatory by Mozilla (το Mozilla είναι ο πάροχος του εξαιρετικού browser Firefox) ο οποίος προσφέρει δωρεάν σύστημα ανίχνευσης κενών ασφαλείας και προτάσεων για την βελτίωση ενός ιστοτόπου – σχετικός σύνδεσμος
Ο Mozilla Observatory (Παρατηρητήριο) σε συνεργασία με τρίτους δημοφιλείς διεθνείς παρόχους κυβερνο-ασφάλειας, αξιολογεί δεκάδες υποχρεωτικές παραμέτρους και τιμές που χρακτηρίζουν τον κώδικα κάθε ιστοσελίδας και συνθέτει μια τελική βαθμολογία (score) από άριστα ως χάλια, αντίστοιχα από A ως F με τα A, B, C, D να παίρνουν και ενδιάμεσες τιμές + και – πχ C-, A+.
Ακολουθώντας τις συστάσεις του, έχω πετύχει ως τώρα (η προσπάθεια αναβάθμισης συνεχίζεται) ο ιστοχώρος της Ευτοπίας eftopia.org να έχει score B+ = 80% που θεωρείται αρκετά καλό.
Εδώ και 20 σχεδόν χρόνια είμαι φανατικός χρήστης των online συναλλαγών και ευτυχώς μέχρι τώρα δεν έχω πέσει θύμα απάτης ή υποκλοπής των στοιχείων μου και των συναλλαγών μου. Με βάση λοιπόν όλα τα προαναφερθέντα είχα έντονα την περιέργεια τι βαθμό θα έπαιρναν οι ιστότοποι των πιο γνωστών ελληνικών τραπεζών θεωρώντας ότι οι περισσότερες αν όχι όλες θα είχαν βαθμολογία μεγαλύτερη του 80%, κοντά στο 100%.
Δυστυχώς ήρθε η απογοήτευση!
Οι τράπεζες μας με τόσο κεφάλαιο, με εξειδικευμένο προσωπικό online ασφαλείας κλπ κλπ είχαν όλες βαθμολογία κατώτερη της δικής μου(!), δηλαδή λιγότερο από 80%…
Πριν δείξω τα αποτελέσματα τα οποία μπορεί οποιοσδήποτε να αναπαραγάγει στο συγκεκριμένο site Observatory by Mozilla να δηλώσω κατηγορηματικά ότι δεν υπάρχει κανένα προσωπικό ή ιδιοτελές όφελος και / ή σύγκρουση συμφερόντων με οποιαδήποτε τράπεζα.

Η έρευνα έγινε στις 11/02/2019 από ώρα 16:50 ως 17:30.

Η βαθμολογία – score (φθίνουσα σειρά, καλύτερος προς χειρότερος):

1. Τράπεζα Eurobank: αρχική σελίδα B score = 70%, σελίδα e-banking B score = 70% (διαθέτει HSTS header – HTTP Strict Transport Security)
2. Τράπεζα Αττικής – Attica Bank: αρχική σελίδα B- score = 65%, σελίδα e-banking C score = 55% (διαθέτει HSTS header αλλά μόνο στην αρχική σελίδα!)
3. Τράπεζα Alpha Bank: αρχική σελίδα C+ score = 60%, σελίδα e-banking C+ score = 60% (διαθέτει HSTS header)

- Όλες οι επόμενες επειδή έχουν την ίδια απαράδεκτη βαθμολογία – F score< 20% τόσο στην αρχική σελίδα όσο και στην σελίδα e-banking, καταλαμβάνουν ισότιμα την 4η θέση!
4. Τράπεζα Πειραιώς, Εθνική Τράπεζα, HSBC Bank, CITIBANK, Praxia Bank, IBG Bank (Επενδυτική Τράπεζα Ελλάδος) – μάλιστα με εξαίρεση την Praxia-bank καμια δεν διαθέτει HSTS header!

Για την ιστορία, ο ιστότοπος της Ελληνικής Ένωσης Τραπεζών (hba.gr) λαμβάνει βαθμολογία F-score = 0% και ο ιστότοπος της Τράπεζας της Ελλάδος (bankofgreece.gr) F-score = 0%.
Επίσης δοκιμάζοντας το εκτός Ελλάδος μεγαθήριο την Deutsche Bank (deutsche-bank.de): αρχική σελίδα D+ score = 40% και η σελίδα e-banking C+ score = 60% (διαθέτει HSTS header) άρα τα χάλια δεν είναι μόνο δικά μας!

Σημειώσεις:
α) Καμιά τράπεζα δεν διαθέτει HTTP Public Key Pinning (HPKP) header ενώ η άκρως σημαντική παράμετρος Content Security Policy (CSP) header είναι σε όλες ανεπαρκής με αποτέλεσμα οι ιστότοποι τους να είναι δυνητικά ευάλωτοι σε επιθέσεις, αλλοιώσεις στοιχείων και υποκλοπές…
β) Όπως αναφέρεται και στις FAQ του Observatory by Mozilla δεν εξετάζονται άλλες σημαντικές δυνητικές ευπάθειες του συστήματος σαν τις βάσεις δεδομένων, πρόσθετα, κλπ.

Συμπερασματικά χρειάζεται γενναία βελτίωση των τεχνικών ασφαλείας των sites των τραπεζών και μεγάλη προσοχή από μέρους μας.
Αναμένοντας τα σχόλια ή παρατηρήσεις σας.

Ευχαριστώ
Σπύρος Καραμαγκιώλης

——-

Άδεια Creative Commons
Το έργο με τίτλο “Πόσο ασφαλή είναι τα sites των ελληνικών τραπεζών;” από τον δημιουργό Spyridon Karamagkiolis διατίθεται με την άδεια Creative Commons Αναφορά Δημιουργού – Μη Εμπορική Χρήση – Παρόμοια Διανομή 4.0 Διεθνές . Βασισμένο σε έργο στο https://www.eftopia.org/articles/greek-financial-banks-online-security-score.
Παροχή δικαιωμάτων πέρα από τα πλαίσια αυτής της άδειας μπορεί να είναι διαθέσιμη στο https://eftopia.org.

Author
Categories ,

Comments

There are currently no comments on this article.

Σχόλια / Παρατηρήσεις

Enter your comment below. Fields marked * are required. You must preview your comment before submitting it.